Op 22 mei 2023 heeft het moederbedrijf van onder andere Facebook en Whatsapp (Meta Platforms Ireland Limited) van de Europese privacy-toezichthouder European Data Protection Board (“EDPB”) een recordboete van 1,2 miljard euro opgelegd gekregen voor het overtreden van de Europese privacywetgeving.
De boete betreft met grote afstand de hoogste boete die ooit door een Europese privacy-toezichthouder is opgelegd.[1] De overtreding waarvoor de boete is opgelegd hangt samen met de export van Europese persoonsgegevens naar de Verenigde Staten (“VS”). De boete volgt op een onderzoek van de privacy-toezichthouder van Ierland dat in augustus 2020 is gestart.
De overtreding van Meta vloeit voort uit het Schrems II-arrest van het Europese Hof van Justitie van 16 juli 2020. In deze zaak zette het Europese Hof van Justitie een streep door het EU-US Privacy Shield. Het Privacy Shield betrof een contract tussen de EU en de VS, waarin afspraken waren gemaakt over hoe de Europese persoonsgegevens in de VS beschermd moesten worden. Op basis van dit contract konden persoonsgegevens door Europese partijen worden uitgewisseld met een ontvangende partij in de VS. Vanwege de uitspraak van het Hof werd het EU-US Privacy Shield met directe ingang nietig verklaard. Het Hof van Justitie kwam namelijk tot het oordeel dat zelfs met het EU-VS Privacy Shield niet een acceptabel beschermingsniveau kon worden gegarandeerd door Amerikaanse ontvangers, onder meer vanwege de vergaande bevoegdheden van de Amerikaanse inlichtingen- en veiligheidsdiensten.
Als gevolg van Schrems II moeten Europese data-exporteurs niet alleen passende waarborgen, maar ook aanvullende waarborgen treffen op het moment dat zij Europese persoonsgegevens willen delen met een ontvangende partij in de VS. Deze aanvullende maatregelen kunnen bestaan uit pseudonimisering of encryptie, waarbij de encryptiesleutel in de EU moet blijven.[2] Sindsdien is het voor Europese partijen erg lastig (of vrijwel onmogelijk) geworden om Europese persoonsgegevens uit te wisselen met een ontvanger in de VS, waarbij de ontvangende partij volledige toegang wordt gegeven tot de desbetreffende Europese persoonsgegevens. Ik ben hier reeds uitgebreid op ingegaan in mijn blog van 6 september 2021: Doorgifte van persoonsgegevens buiten de EU na Schrems II (wijnenstael.nl).
Meta heeft nagelaten om aanvullende maatregelen te treffen ten aanzien van de data-export van Europese persoonsgegevens naar de VS. Hierdoor wordt er door de EDPB aan Meta een recordboete opgelegd van EUR 1,2 miljard. Daarnaast wordt Meta opgelegd dat zij binnen vijf maanden na het boetebesluit iedere vorm van onrechtmatige data-export naar de VS moet staken en zij binnen zes maanden haar bedrijfsprocessen moet aanpassen om alsnog een rechtmatige data-export te implementeren. Meta heeft reeds bevestigd tegen het boetebesluit in beroep te gaan. Het volledige boetebesluit van de EDPB is hier terug te vinden.
De vraag is in hoeverre Meta voor het aanpassen van haar bedrijfsprocessen gebruik kan gaan maken van het nieuwe EU-US Data Privacy Framework. Direct na Schrems II zijn de EU en de Amerikaanse overheid hard aan de slag gegaan om een alternatief voor het Privacy Shield uit te werken. Dit alternatief zal worden geïmplementeerd als het “EU-US Data Privacy Framework”. Zie mijn blog van 18 januari 2023 over dit nieuwe EU-VS Data Privacy Framework: Nieuw EU-US Data Privacy Framework in aantocht (wijnenstael.nl). De laatste stand van zaken is dat de EDPB op 28 februari 2023 een ‘opinion on the draft adequacy decision regarding the EU-US Data Privacy Framework’[3] heeft uitgebracht. Er is op dit moment nog niet duidelijk wanneer het EU-US Data Privacy Framework precies in werking zal treden.
[1] De één na hoogste boete die hiervoor is opgelegd, is de boete van 16 juli 2021 aan Amazon Europe Core S.à.r.l. van EUR 756 miljoen.